アカウントロックアウトでハッカーを阻止できない理由

ユーザーが自分のアカウントからロックアウトされるのは、よくあるシナリオです。数回タイプミスをすると、時間が経過するか、電子メールでパスワードをリセットするまで、再試行できなくなります。イライラしますが、少なくともハッカーを阻止できます。本当にそうでしょうか?

統計はそうではないことを示しています。全アメリカ人の3分の1標準的な試行回数制限にもかかわらず、ソーシャル メディア アカウントがハッキングされたことがあります。ユーザーをロックアウトできるのであれば、これらの保護機能ではサイバー犯罪者を阻止できないのはなぜでしょうか。また、人々はどのように安全を確保できるのでしょうか。

アカウントロックアウトはハッカーを阻止するためにどのように機能するのか

アカウント ロックアウトは、「ブルート フォース」攻撃と呼ばれる種類のハッキングを阻止するためのものです。最も単純なブルート フォース攻撃では、一連のランダムな入力を試して、何かが機能するまで試行します。多くの場合、サイバー犯罪者は自動化ツールを使用してこれを実行します。これは、手動でパスワードを推測するよりもはるかに高速です。

ログイン試行回数制限の背後にある考え方は、パスワードを正しく入力するには 3 回程度では十分ではないということです。したがって、一定回数試行した後にアカウントをロックすると、理論上はブルート フォース攻撃が成功する前に阻止できます。ただし、実際にこのように展開することはめったにありません。

ハッカーがアカウントロックアウトを回避する方法

サイバー犯罪者は、パスワードで保護されたアカウントにさまざまな方法で侵入できます。ここでは、ブルートフォース攻撃でもアカウントのロックアウトを回避するために使用する戦略をいくつか紹介します。

オフラインブルートフォース攻撃

アカウント ロックアウトは、ハッカーがログイン画面でパスワードを推測しようとした場合には有効です。問題は、ハッカーがそのようなことを頻繁に行わないことです。その代わりに、ハッカーはオフラインでブルート フォース攻撃を実行し、パスワード データを盗み、試行回数の制限がない別の環境でパスワードを突破しようとします。

攻撃者ロックアウトできない生の暗号化データを入手した後、何度も試行が失敗した後、攻撃者はデータをオンラインで復号化しようとはしません。オンラインのサーバーでは、こうした保護がかかっています。攻撃者はアカウント データだけを取り出し、自分のコンピューターまたは別の安全でないサーバーで総当たり攻撃を行います。

これらの攻撃では、まずウェブサイトからパスワードを盗み、次にブルートフォースツールを使用して暗号を破る必要があります。これは、そのサイトで資格情報を推測するよりも複雑ですが、犯罪者に時間を与えます。何百万回も試行したとしても、数日でパスワードを明らかにし、正規のサイトで通常のユーザーのようにログインすることができます。

残念ながら、何百万回も試行する必要はないことが多い。セキュリティ専門家による長年の警告にもかかわらず、「パスワード」は依然として最も一般的な基本用語パスワードには 3 文字以上が使用されており、パスワードの 18% には小文字のみが含まれています。ユーザーがパスワードの長さや複雑さに関するベスト プラクティスに従わないという理由だけで、オフライン ブルート フォース攻撃がハッカーにとって容易になることがよくあります。

クレデンシャルスタッフィング

もう 1 つの選択肢は、クレデンシャル スタッフィングを使用することです。この場合、ハッカーは、あるアカウントで有効であることがわかっているログイン情報を取得し、それを使用して別のアカウントに侵入します。多くの場合、ハッカーは過去のデータ侵害からこれらのクレデンシャルを入手し、他のサイバー犯罪者が盗んだユーザー名とパスワードをダーク ウェブで販売しています。

ただ世界のインターネットユーザーの12%新しいアカウントを開設するときは、常に新しい認証情報を使用してください。ほとんどの人は、複数のサイトで同じパスワードを使用しています。場合によっては、すべてのサイトで同じパスワードを使用しています。その結果、盗まれたパスコードは他の場所でも機能する可能性が高いため、ハッカーは 1 回か 2 回の試行でそのパスコードを使用してアカウントにログインできます。

ソーシャルエンジニアリング

ハッカーはソーシャル エンジニアリングを通じてアカウント ロックアウトを回避することもできます。これは非常に幅広い攻撃カテゴリであるため、ログイン認証情報を盗んだり回避したりするための複数の戦略が考えられます。

最も直接的な方法は、信頼できるソースを装ってユーザーを騙し、攻撃者にパスワードを教えさせることです。あるいは、サイバー犯罪者は、正当なサイトからのメールを装い、アカウントにログインするためのリンクを記載したメールを送信することもあります。ただし、このリンクは本物とまったく同じ不正なログイン ページにつながるため、犯罪者はユーザーが入力した内容を見ることができます。

このような攻撃は明白に思えるかもしれないが、 298,878人がフィッシング詐欺に引っかかった2023年だけでも、この数字は他のどのサイバー犯罪よりも多く、ソーシャルエンジニアリングが依然として非常に効果的であることを示唆しています。

キーロギングと中間者攻撃

攻撃者がアカウントのロックアウトを回避するもう 1 つの方法は、ユーザーがパスワードを入力するのを監視することです。主なアプローチには、キーロギング ソフトウェアと中間者 (MITM) 攻撃の 2 つがあります。

キーロガーは、フィッシング、悪意のある Web サイト、またはその他の手段を通じてサイバー犯罪者が配信するマルウェアの一種です。インストールされると、パスワードなどユーザーが入力した内容が追跡され、ハッカーはこれを使用して 1 回の試行でユーザーのアカウントにログインできるようになります。

MITM 攻撃は似ていますが、ユーザーの入力 (パスワードを含む場合もあります) がサーバーに到達する前に傍受します。暗号化によりこれらの攻撃を阻止できますが、公共の Wi-Fi やセキュリティ保護されていない Web サイトは MITM 攻撃の影響を受けます。

ユーザーはどうすれば安全を確保できるでしょうか?

アカウントのロックアウトだけではハッカーを阻止するのに十分ではないと言っても過言ではありません。幸いなことに、ユーザーは他のいくつかのベストプラクティスに従うことで自分自身を保護できます。安全性を高めるには、強力なパスワードを使用することから始まります。専門家ランダムパスワードジェネレータの使用を推奨これらは、ブルートフォース攻撃が困難な、より複雑な文字列を作成します。

パスワードを再利用せず、定期的に変更することも良い考えです。これらの手順により、クレデンシャル スタッフィングの効果が低下します。

ユーザーは、利用可能な場合は多要素認証（MFA）も有効にする必要があります。 MFAをブルートフォースで突破することが可能ただし、単純なユーザー名とパスワードの組み合わせを突破するよりもはるかに困難です。

サイバー犯罪者を阻止するのは決して簡単ではない

ブルートフォース攻撃は一見したほど単純ではなく、防御も簡単ではありません。アカウント ロックアウト システムは理論上は理にかなっていますが、実際には唯一の防御手段としては安全とは言えません。

サイバー犯罪者はさまざまなツールを利用できるため、強力な保護も同様に複数の方法で安全を確保します。ログイン制限と、長くて複雑で固有のパスワード、MFA、頻繁な認証情報の変更を組み合わせることで、最大限のセキュリティが実現します。